Комментарии 5
Прочитал, что в домене вы не можете делать новые группы, но по-хорошему, это подразумевается. Даже в случае недоступности изменений в домене, можно обойтись фильтрацией LDAP в разделе authc для указания групп и не указывать точечно пользователей.
Пример из живой системы:
userbase: 'OU=People,DC=domain,DC=local'
usersearch: '(&(sAMAccountName={0})(memberOf:1.2.840.113556.1.4.1941:=CN=ELK-Access,OU=ELK,OU=Global_groups,DC=domain,DC=local))'
Соответственно, для вашего случая, можно указать 3 memberOf параметра через OR и просто наполнять группы, не трогая конфиг Opensearch.
В идеале, конечно, сделать одну группу и включать в нее нужные.
Спасибо за ваш комментарий! В документации я не нашел информацию о том, что такой способ фильтрации доступен в OpenSearch, хотя я применял этот способ в других системах. Значит всё таки можно отфильтровать пользователей внутри одного каталога в зависимости от группы, это здорово! Я попробую смоделировать конфигурацию из статьи с учетом фильтрации пользователей и дополню статью.
Кто использует ansible role для установки Opensearch https://github.com/opensearch-project/ansible-playbook - сталкивались ли с такой issue - https://github.com/opensearch-project/ansible-playbook/issues/49 ?
Правильно ли я понимаю, что при такой конфигурации в roles.yml, у Вас каждый пользователь создаёт свой индекс паттерн?
Настройка в OpenSearch аутентификации и авторизации пользователей через Active Directory по протоколу LDAP